Jak skonfigurować DMARC? Przewodnik konfiguracji i konfiguracji DMARC

Blog

Dowiedz się, jak skonfigurowanie DMARC może chronić Twoją firmę przed zagrożeniami związanymi z pocztą elektroniczną, takimi jak phishing i spoofing. Popraw bezpieczeństwo i chroń reputację swojej marki.

Maitham Al Lawati

Czas czytania: 7 min
Jak skonfigurować DMARC? Przewodnik konfiguracji i konfiguracji DMARC
Spis treści-

Prawidłowa konfiguracja DMARC chroni Twoją organizację przed spoofingiem, phishingiem i innymi cyberatakami opartymi na poczcie elektronicznej. Konfigurując protokół DMARC (Domain-based Message Authentication Reporting and Conformance), tworzysz solidną warstwę zabezpieczeń dla swoich wiadomości e-mail, zapewniając ich uwierzytelnianie i zgodność z nowoczesnymi standardami. Proces konfiguracji obejmuje utworzenie rekordu DNS i współpracę z dostawcą usług hostingowych w celu jego opublikowania, dzięki czemu bezpieczeństwo poczty elektronicznej jest bardziej dostępne i łatwiejsze w zarządzaniu.

Kluczowe wnioski

  1. Konfiguracja DMARC chroni przed spoofingiem i phishingiem poprzez uwierzytelnianie wiadomości e-mail za pomocą SPF i DKIM.
  2. Rekordy DMARC, zdefiniowane w DNS, określają sposób obsługi nieautoryzowanych wiadomości e-mail za pomocą polityk takich jak none, quarantinelub reject.
  3. Konfiguracja DMARC obejmuje utworzenie rekordu, wybranie polityki, włączenie raportowania i opublikowanie go w DNS.
  4. Regularna weryfikacja i monitorowanie rekordów DMARC są niezbędne do zapewnienia prawidłowej konfiguracji i uniknięcia problemów z dostarczaniem.
  5. Korzystanie z p=reject zapewnia maksymalną ochronę, uniemożliwiając nieautoryzowanym wiadomościom e-mail dotarcie do odbiorców.

Wymagania wstępne dotyczące konfiguracji DMARC

Zanim przejdziemy do procesu konfiguracji DMARC, upewnij się, że posiadasz następujące elementy:

  1. Dostęp do konsoli zarządzania DNS: Jest to niezbędne do tworzenia i publikowania rekordów DNS.
  2. Lista autoryzowanych nadawców wiadomości e-mail: Zidentyfikuj wszystkie usługi i serwery, które wysyłają wiadomości e-mail w Twoim imieniu, aby uniknąć niezamierzonego blokowania.
  3. Istniejący rekord SPF i/lub DKIM w DNS: Przynajmniej jeden z tych rekordów powinien być już skonfigurowany w DNS, ponieważ DMARC opiera się na nich w celu uwierzytelniania wiadomości e-mail.

Jak skonfigurować DMARC Krok po kroku

Aby rozpocząć konfigurację DNS DMARC, wykonaj kroki konfiguracji podane poniżej:

Krok 1: Utworzenie rekordu DMARC

Rozpoczynasz od utworzenia rekordu DNS, który definiuje zasady i ustanawia implementację.

Aby utworzyć darmowy rekord, użyj naszego Generator DMARC jak pokazano na powyższym zrzucie ekranu. Po otwarciu ekranu narzędzia pojawią się pewne obowiązkowe kryteria, które należy wypełnić.

Uprość konfigurację DMARC dzięki PowerDMARC!

15-dniowy trialZamów demo

Krok 2: Wybierz odpowiednią politykę DMARC dla swoich wiadomości e-mail

Znacznik p= policy jest obowiązkowym znacznikiem, który musi być skonfigurowany w konfiguracji DMARC. Jeśli go pominiesz, Twój rekord będzie nieważny. 

DMARC-Record-Generator

Aby zapobiec fałszowaniu wiadomości e-mail, należy skonfigurować politykę politykę DMARC o wartości p=kwarantanna lub wyższej. Możesz jednak wybrać politykę "none", jeśli chcesz monitorować swoje wiadomości e-mail przed przejściem do pełnego egzekwowania.

Krok 3: Włącz raportowanie i kliknij "Generuj" 

Włącz raportowanie i generowanie kliknięć

Pozostałe kryteria konfiguracji DMARC nie są obowiązkowe, jednak jeśli chcesz ustawić elastyczność dostosowania dla DKIM i SPF lub włączyć raportowanie DMARC, możesz to zrobić. Raporty RUA i RUF mogą pomóc w śledzeniu przepływu poczty i wyników uwierzytelniania w celu szybkiego wykrycia niespójności.

Na koniec kliknij przycisk "Generuj", aby sfinalizować ustawienia DMARC i zakończyć proces tworzenia rekordu.

Krok 4: Opublikowanie i zatwierdzenie konfiguracji rekordu

Po zakończeniu tworzenia rekordu TXT, użyj przycisku "Kopiuj", aby bezpośrednio skopiować składnię, a następnie przejdź do konsoli zarządzania DNS. Wklej rekord do DNS, aby zakończyć konfigurację DMARC.

Opublikuj i zweryfikuj ustawienia rekordu

Przeczytaj nasz szczegółowy przewodnik na temat publikowania rekord DMARC w DNS, aby dowiedzieć się więcej.

Weryfikacja konfiguracji DMARC

Po skonfigurowaniu DMARC, należy zweryfikować konfiguracje, aby upewnić się, że protokół działa zgodnie z potrzebami i aby nie napotkać bardzo częstego błędu "Nie znaleziono rekordu DMARC". Bez odpowiednich kontroli i monitorowania, uwierzytelnianie wiadomości e-mail może stać się bardzo trudne i prowadzić do fałszywych alarmów lub niepowodzeń, wpływając na wydajność dostarczania poczty.

Aby zweryfikować swoją konfigurację, możesz bezpłatnie skorzystać z narzędzia PowerDMARC DMARC checker. Jest to natychmiastowe i skuteczne narzędzie do walidacji rekordu DNS TXT, które nie tylko pokazuje status ważności rekordu, ale także podkreśla błędy i sugeruje ulepszenia w celu szybszego osiągnięcia zgodności!

Aby go użyć:

  1. Wprowadź nazwę domeny w polu docelowym (np. jeśli adres URL witryny to https://company.com nazwą domeny będzie company.com)
  2. Kliknij przycisk "Wyszukaj"
  3. Wyniki wyświetlane na ekranie

Zalecamy tę metodę weryfikacji jako alternatywę dla weryfikacji ręcznej, aby uzyskać szybsze, dokładniejsze i bezproblemowe doświadczenie.

Przykład konfiguracji DMARC

Oto przykład typowej konfiguracji DMARC:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; fo=0;

Uwaga: Rozpoczynając swoją przygodę z uwierzytelnianiem poczty e-mail, możesz utrzymać politykę DMARC (p) na poziomie braku zamiast odrzucania, aby monitorować przepływ poczty e-mail i rozwiązywać problemy przed przejściem na ścisłą politykę.

Składnia rekordu DMARC

Składnia konfiguracji DMARC jest najważniejszą częścią wdrożenia, ponieważ określa sposób uwierzytelniania wiadomości e-mail i działania, które zostaną podjęte po weryfikacji. Przyjrzyjmy się kilku podstawowym mechanizmom:

  1. Pole "v" określa wersję protokołu DMARC, którą jest DMARC1
  2. Pole "p" jest obowiązkowym polem polityki DMARC, które może być ustawione na brak/odrzucenie/kwarantanna.
  3. Pola "rua" (aggregate feedback) i "ruf" (forensic reports) są opcjami raportowania DMARC, które pomagają odbierającym ESP dostarczać informacje zwrotne na temat wiadomości e-mail wysyłanych do odbiorców, które byłyby wysyłane na zdefiniowany adres e-mail lub dedykowaną skrzynkę pocztową

To tylko kilka z nich, możesz dowiedzieć się więcej na naszym szczegółowym blogu na temat tagów DMARC.

Dlaczego warto skonfigurować DMARC

90% ataków phishingowych wykorzystuje pocztę elektroniczną jako wektor, co sprawia, że uwierzytelnianie poczty elektronicznej jest niezbędne. Raport FBI Internet Crime Complaint Center z 2020 roku (Raport FBI IC3 2020) podało, że w USA otrzymano 28 500 skarg dotyczących ataków opartych na poczcie elektronicznej. Statystyki phishingu e-mailowego, takie jak te, natychmiast stawiają DMARC na pierwszym planie.

Czy wiesz, że?

  • 75% domen organizacyjnych z całego świata zostało sfałszowanych w 2020 r. w celu wysłania wiadomości phishingowych do ofiar
  • 74% takich kampanii phishingowych zakończyło się sukcesem
  • Częstotliwość występowania BEC wzrosła o 15% od zeszłego roku
  • IBM podał, że jedna na 5 firm w ostatnim roku doświadczyła naruszenia danych spowodowanego złośliwymi e-mailami

Sprawdź swoją domenę już teraz, aby zobaczyć, jak bardzo jesteś chroniony przed oszustwami e-mailowymi!

Korzyści i zastosowania konfiguracji DMARC

Konfiguracja DMARC może być przydatna w następujących sytuacjach:

  • Aby upewnić się, że tylko autoryzowani nadawcy mogą wysyłać wiadomości e-mail w imieniu Twojej domeny e-mail
  • Aby zapobiec atakom typu e-mail phishing i direct-domain spoofing
  • Aby wyświetlić adresy IP lub źródła wysyłające wiadomości e-mail w imieniu użytkownika
  • Aby zapobiec dotarciu wiadomości spamowych do odbiorców
  • Aby poprawić dostarczalność legalnego ruchu e-mail

Najczęściej zadawane pytania dotyczące konfiguracji DMARC

1. Czy można skonfigurować DMARC bez DKIM lub SPF?

Nie. Aby upewnić się, że wiadomości e-mail są uwierzytelniane, należy skonfigurować jedno z nich. Możesz skonfigurować oba, co jest zalecanym podejściem dla maksymalnego bezpieczeństwa, jednak jest to całkowicie opcjonalne.

W naszej bazie wiedzy szczegółowo omówiliśmy oba podejścia.

2. Jakie są najlepsze ustawienia DMARC?

Najlepszym ustawieniem DMARC, jeśli chcesz uzyskać maksymalną ochronę przed atakami opartymi na wiadomościach e-mail, jest p=reject (gdzie p jest mechanizmem używanym do określenia polityki rekordów). Odpowiednie ustawienie DMARC zależy od pożądanego poziomu egzekwowania (jak rygorystycznie odbiorcy mają obsługiwać wiadomości e-mail, które nie spełniają wymogów DMARC).

Dla samego monitorowania można skonfigurować DMARC z polityką "brak", podczas gdy można skonfigurować "kwarantannę", jeśli chcesz przejrzeć nieautoryzowane wiadomości e-mail w kwarantannie lub folderze spamu przed ich odrzuceniem lub zaakceptowaniem.

Pamiętaj, że jeśli chcesz skonfigurować DMARC, aby powstrzymać swoją domenę przed spoofingiem i powstrzymać ataki phishingowe i BEC, zalecamy wybranie następującego kryterium podczas generowania rekordu DMARC:

Ustaw politykę DMARC na p=odrzuć

Co to oznacza?

Gdy skonfigurujesz wymuszanie DMARC w swojej organizacji, wybierając ustawienia DMARC "odrzuć", oznacza to, że za każdym razem, gdy wiadomość e-mail wysłana z Twojej domeny nie przejdzie uwierzytelnienia DMARC, złośliwa wiadomość e-mail zostanie natychmiast odrzucona przez serwer odbierający pocztę e-mail, zamiast zostać dostarczona do skrzynki odbiorczej odbiorcy wiadomości e-mail.

3. Jak wyłączyć DMARC?

Ważne jest, aby pamiętać, że wyłączenie uwierzytelniania poczty e-mail dla domen nie jest zalecane ani zalecane, ponieważ pozostawia domeny podatne na szeroki zakres cyberataków i zapewnia cyberprzestępcom otwarty dostęp do podszywania się pod domenę. Biorąc to pod uwagę, jeśli nadal chcesz wyłączyć protokół, możesz wykonać kroki podane poniżej:

  1. Uzyskaj dostęp do konsoli zarządzania swojego rejestratora DNS
  2. Przejdź do zaawansowanego edytora DNS, aby edytować ustawienia DNS.
  3. Zlokalizuj domenę, dla której chcesz wyłączyć DMARC
  4. Usunięcie rekordu DMARC TXT
  5. Zapisz zmiany i poczekaj, aż zostaną one odzwierciedlone.

Alternatywnie możesz skontaktować się z rejestratorem domeny, aby pomógł Ci usunąć rekord, jeśli nie masz dostępu do konsoli. 

Usunięcie wpisu DNS dla DMARC spowoduje automatyczne wyłączenie protokołu dla danej domeny. Jeśli jednak masz wiele domen z włączonym DMARC, musisz ręcznie usunąć wpisy DNS dla tych domen, aby wyłączyć je dla swojej organizacji.

Łatwa konfiguracja DMARC za pomocą PowerDMARC

Podczas utworzyć konto na PowerDMARC, zajmujemy się implementacją i konfiguracją protokołu. Zarządzamy również i monitorujemy stan Twojej domeny i wiadomości e-mail, analizujemy zbiorcze raporty i organizujemy wyniki uwierzytelniania na dedykowanym pulpicie nawigacyjnym.

Jeśli nie chcesz przechodzić przez kłopoty związane z ręczną konfiguracją, możesz zautomatyzować ten proces, korzystając z bezpłatnego 15-dniowego okresu próbnego. Aby cieszyć się korzyściami płynącymi z uwierzytelniania poczty elektronicznej i skonfigurować DMARC w sposób, który skutecznie ochroni Twoją domenę, zarejestruj się u nas już dziś!

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)
PowerDMARC w 2024 roku: Przegląd rokuPowerDMARC-in-2024--A-Year-in-Review-Polityka dmarc nie jest włączonaJak naprawić komunikat "Polityka DMARC nie jest włączona" w 2025 roku?